我国大数据交易安全风险及应对思路

刘婷婷 陈诗洋 郭建南

中国信息通信研究院 北京 100191

引言

随着以人工智能、大数据、物联网、区块链等为代表的新一代信息技术加速突破应用，数据的价值被充分挖掘和释放，大数据交易产业应运而生。大数据交易包括三类主体[1-2]：数据供方(卖方)、数据需方(买方)、数据交易中间方(交易中介)。其中数据供方是提供数据或原始数据的主体，数据需方是购买或者使用数据的主体，数据交易中间方则为供需双方提供交易的场所或信息化平台，即大数据交易中心。大数据交易的本质是买卖数据价值，供需双方交换的不是原始数据，而是经过数据清洗和处理后的数据结果，因此大数据交易以电子交易为主要形式，通过大数据交易中心的信息化平台(以下简称“大数据交易平台”)，交易包括API数据接口、解决方案、数据终端等格式的数据[2-3]。数据来源包括政府开放数据、数据供方提供的数据、互联网爬取的数据和数据交易平台沉淀、产生的数据。数据交易加速了各行业数据的交换和流通，能够激励更深层次数据价值挖掘利用，为基于数据的经济和社会创新发展提供很大便利。然而我国数据交易产业仍处于初级阶段，大数据交易尚未形成统一规范，大数据交易平台的经营范围无明确规定，大数据交易主体权责不明确，因此数据交易暗藏大量安全风险，需及早研究并加以防范。

1 我国大数据交易政策环境

1.1 国家顶层监管政策

自2008年以来，随着数据价值的重要性日益凸显，我国相继出台了一系列与数据交易相关的政策文件，为推动数据交易产业发展提供了制度依据和政策指引。我国与数据交易相关的政策文件要求及其影响与意义如表1所示。

表1 国家数据交易相关监管政策

1.2 地方性法监管政策

在数据交易监管政策指引方面，贵州省走在全国前列，浙江、广东等省份也相继出台指引性规定。2014年贵州省出台《关于加快大数据产业发展应用若干政策的意见》指出，要“创新机制培育市场，建设大数据交换平台和数据交易市场，加快数据资源流通”。同年，贵州省发布《贵州省大数据产业发展应用规划纲要》指出，“建立数据资产登记制度和数据资产交易规则，推动形成数据资产交易市场”。《意见》和《纲要》的发布是贵州省科学规划大数据产业布局的体现，为力保大数据产业安全发展提供了顶层指导。2016年贵州省出台《贵州省大数据发展应用促进条例》(以下简称“《条例》”)，是全国首部在大数据领域的立法，《条例》从数据采集、数据交易等方面，对各级政府推动大数据产业发展应采取的措施做了明确规定，如推动标准体系建设，规范数据采集，促进数据交易，推动大数据应用等。《条例》还从加强政府监管、明确各方主体责任等方面，对数据安全管理作出了规定，包括建立政府安全监管制度、强化有关各方安全管理主体责任和推动安全管理技术创新。《条例》为贵州省大数据交易管理作出了宣示性、原则性、概括性和指引性规定。此外，2016年，浙江省和广东省分别发布《浙江省促进大数据发展实施计划》和《广东省促进大数据发展行动计划(2016-2020年)》，探索健全大数据交易产业发展支撑体系，培育数据交易市场，进一步促进全省大数据发展。

1.3 行业标准和公约

2014年6月，《中关村数海大数据交易平台规则(征求意见稿)》在中关村大数据交易产业联盟专家顾问委员会宣布成立当天同步推出，是我国第一份大数据交易规则。

2015年5月，贵阳大数据交易所发布《贵阳大数据交易所702公约》，为大数据交易所的性质、目的、交易标的、信息隐私保护等指明了方向。

2016年7月，由工业和信息化部、中央网信办、国家发改委指导，数据中心联盟筹建的“大数据发展促进委员会”成立大会在京召开。中国信息通信研究院、中国电子科学技术研究院、中国联通、中国电信、阿里巴巴、京东、360、世纪互联等多家单位共同发布《数据流通行业自律公约》2.0版，新版公约定位为解决数据流通领域长期缺乏行业规范问题[4]。

2018年6月7日，中国公布首个国家数据交易标准《信息技术 数据交易服务平台 交易数据描述》(GB/T 36343-2018)，该标准从2019年1月1日正式实施。此外，2019年8月，系列标准《信息技术 数据交易服务平台 通用功能要求》(GB/T 37728-2019)、《信息安全技术 数据交易服务安全要求》(GB/T 37932-2019)发布，并于2020年3月1日正式实施，后者系中国首个大数据交易安全标准。

2 国内大数据交易管理现状

2.1 国家监管政策缺少对大数据交易中心权威约束

纵观国内现行法律法规，一方面我国尚无国家顶层大数据交易立法，对大数据交易中心的法律定位、经营范围、职责权限等没有统一认定，大数据交易中心审批流程缺少权威规定，无法对数据交易行业发挥普遍的法律约束力；另一方面，当前大数据交易管理规范主要依靠行业自律，不同大数据交易中心制定的交易规则出发点不同、颗粒度不同，甚至对大数据交易中心权责的理解和定义不同，显然行业自律并不能对数据交易各环节各主体进行有效约束[2,5]。对比国际方面，2017年1月，欧盟委员会发布了《打造欧洲数据经济 数据所有权》的白皮书，指出欧盟现有的数据相关法律框架并不能有效地促进数据的运作，建议未来从法律角度对数据所有权问题进行回应。2018年5月，美国佛蒙特州通过了数据经纪商(大数据交易中介服务的经营主体)专项监管法案，成为美国第一个对数据经纪商进行专项立法的州[6]。但相比国外较为成熟的数据开放、隐私保护等方面的法律体系，在数据交易方面，国外的法律体系仍需健全[1,7-10]。

2.2 数据确权和隐私保护问题尚无有效解决方案

数据确权问题，尤其是个人数据产权和个人隐私权问题，是大数据产业关注的核心问题。保护个人隐私和个人数据权属是一个问题的两个方面，数据确权后将更有利于个人隐私保护，而明确个人隐私数据共享交易的规范后，更有利于区分数据安全责任。当前，国内尚未形成明确的数据权属规定，数据归属不明确、个人隐私去标识化能否成为企业免责的理由，现行立法对这一问题还没有明确答案[5,8,9,11]。因此制定切实有效的个人隐私保护与数据确权相平衡的法律规定，将更有利于大数据交易产业的安全健康发展[12]。

2.3 大数据交易安全管理缺少技术保障能力支撑

一方面，大数据交易行业尚未形成标准统一的安全管理技术手段，无法对大数据交易平台的网络安全、信息安全和数据安全保障机制和措施进行有效评估，无法全面掌握大数据的交易类型、交易方式、合规性等基本情况；另一方面，大数据交易安全离不开数据流通各环节的专业化处理，大数据交易行业在数据采集汇聚、非结构化处理、数据清洗、数据建模等环节涉及的技术和工具产业化专业化水平尚待提升。此外，我国缺乏对黑市交易等违法违规交易行为的主动发现技术手段，无法及时发现违法违规数据交易问题或行为，缺乏准确、科学地对疑似违法违规交易事件进行研判的技术能力，一旦遭遇重大数据安全事件，无法及时制止违法行为，制约健康有序的大数据交易产业形成。

3 大数据交易面临的安全挑战

3.1 大数据交易关乎国家安全

随着数据被国家纳入生产要素，数据加速在互联网上的流通与共享，对各行各业发展具有重要激励作用。交通、电信、金融等国民经济领域的企业作为数据存储与处理的第一大主体，承载着影响国计民生的大量行业重要数据，对经济、社会、国家安全等具有巨大价值，我国陆续制定相关政策推动大数据产业深入发展。但是大数据时代，重要行业数据一旦被非法交易或造成数据泄露甚至非法出境，也可能对国家安全产生重大负面影响。例如，2021年7月，国家网信办发布对“滴滴出行”等25款APP下架的通报。被通报的企业主要为交通出行、网络货运等领域的头部企业，至少掌握了所属行业80%以上的深度数据。对这些数据分析挖掘可以直接或间接地反映我国各区域人口分布、商业热力、道路信息等情况[13]。

3.2 数据交易过程潜伏隐私泄露危机

根据国际数据公司(IDC)和数据存储公司根据国际数据公司（IDC）统计，2020年，全球数据量达到了60ZB，其中中国数据量增速迅猛，到2025年将增至48.6ZB，也已成为全球瞩目的“数据大国”。中国2018年约产生7.6 ZB数据，到2025年将增至48.6ZB，业已成为全球瞩目的“数据大国”。大数据交易中心承担着数据和信息存储、处理、交易的重要角色，由于相关数据交易规则不透明、法律法规约束不充分、数据安全防护技术措施不足，海量的数据交易过程必然潜伏隐私泄露危机。一方面滥用信息、倒卖个人数据的情况屡见不鲜，另一方面数据逆向分析等技术给数据脱敏清洗带来更大挑战，即便是经过脱敏、匿名化处理后可视化的数据商品依然存在被关联分析得到原始数据信息的可能性[14]。

3.3 数据交易平台易成为网络诈骗犯罪温床

由于国家大数据战略部署的需要，加上近两年准入门槛较低、数据交易安全监管不严或滞后等，大数据交易中心数量暴增。据不完全统计，自2015年第一家大数据交易所成立以来，我国已注册的数据交易中心有60多家[15]。其中不乏某些平台借着大数据交易的名义实际上从事的是圈钱和诈骗等活动，其利用平台发布信息非法收取会员会费等手段进行诈骗后迅速下线，不仅造成个人和企业经济损失，也给国家大数据产业发展带来不良影响[16]。

3.4 监管约束不到位易造成数据滥用从而滋生数据黑产

数据采集、流通与共享等环节缺乏个人信息收集使用的规范标准，数据使用主体的权责界定不清，数据安全保障制度与技术措施不完善，容易引发违规使用个人信息或数据滥用问题。据Dentsu Aegis Network(电通安吉斯集团)的报告显示，在全球接受调研的4.3万多人中，64%的人对科技类公司的不信任主要源于企业会滥用个人数据。因为数据交易和使用的合法性很难界定，阻碍了数据流通，而面对大数据交易市场数据供求矛盾突出问题，地下数据交易市场规模却不断壮大，针对个人信息的违规收集和恶意利用等行为日益猖獗。

4 对策建议

4.1 建立健全安全监管制度机制和责任体系

每个行业的良性发展都离不开清晰明确的监管制度。我国大数据交易产业发展目前主要依靠行业自律，国家层面缺乏专门的监管部门、明晰的管理制度和责任体系。应加快立法明确大数据交易主管部门及监管职责，完善大数据交易安全监管领域政策，明确大数据交易中心数据安全管理主体责任；实施对大数据交易中心运营主体的准入安全审查；指导大数据交易中心做好对数据交易的安全控制和安全审计，做到过程与人员均可控、可追溯；通过定期检查、信用评价、能力评定等方式，督促大数据交易平台运营主体落实配套网络安全和数据安全保障要求。

4.2 完善配套合规指引和操作规范

良好的数据交易产业环境需要各参与方共同维护。一方面，行业管理机构应研究制定完备的大数据交易中心数据安全相关标准。针对大数据交易中心的交易模式，加强对大数据交易中心数据安全管理技术要求、数据安全管理系统接口规范等研究，构建形成面向大数据交易中心的数据安全管理标准体系。另一方面，大数据交易中心等交易中介作为数据流通的媒介，应加强对个人用户、企业用户的操作规范引导，通过协议等方式加强对数据供方的数据权属审定。

4.3 加强大数据交易安全评估和自评估

一是作为行业监管机构，相关部门应加强对大数据交易安全的第三方评估。将大数据交易平台的数据安全作为安全评估工作的一部分，加强对其安全风险巡查和问题清理，对发现的违规或异常数据交易行为督促其依法清理处置。二是作为数据交易中介，大数据交易平台应加大数据安全自评估和防护力度，避免企业内部安全管理不善带来的安全隐患。三是作为数据交易的需求方，个人和企业用户在选择数据交易媒介时应加强甄别，在获取数据信息后做好数据安全保护，维护好个人和企业权益。

4.4 创新大数据交易安全管理技术手段

增强大数据交易平台自身安全防护水平，提升大数据交易过程的安全保障技术能力，确保大数据使用权与大数据所有权分离，打造安全可靠、权责清晰的大数据交易环境，制定覆盖“数据采集、数据存储、数据处理、数据传输、数据使用”全生命周期的安全保障技术措施；同时围绕大数据交易的交易主体、交易方式、交易范围、交易事件、交易对象等形成大数据交易管理技术体系，助力形成大数据交易事中监测和事后追责技术能力；建立对未经许可成立的大数据交易中心的主动发现能力，通过与大数据交易平台的技术联动管理，实现对大数据交易安全事件的实时监测、异常预警和溯源处置。